Недавно објављене су информације о седам рањивости које утичу на рачунаре са Тхундерболтом, ове познате рањивости су биле наведено као "Тхундерспи" и са њима нападач може искористити да заобиђе све главне компоненте гарантује Тхундерболт сигурност.
У зависности од утврђених проблема, предложено је девет сценарија напада Примењују се ако нападач има локални приступ систему повезивањем злонамерног уређаја или манипулисањем фирмвером рачунара.
Сценарији напада укључују могућност креирања идентификатора за Тхундерболт уређаје произвољан, клонирање овлашћених уређаја, насумични приступ меморији путем ДМА-а и замене поставки нивоа заштите, укључујући потпуно онемогућавање свих заштитних механизама, блокирање инсталације ажурирања фирмвера и превођење интерфејса у Тхундерболт режим на системима ограниченим на УСБ прослеђивање или ДисплаиПорт.
О Тхундерболту
За оне који нису упознати са Тхундерболтом, требали бисте знати да је ово еТо је универзални интерфејс који користи се за повезивање периферних уређаја који комбинује ПЦИе (ПЦИ Екпресс) и ДисплаиПорт интерфејсе у једном каблу. Тхундерболт су развили Интел и Аппле и користи се у многим модерним преносним рачунарима и рачунарима.
Тхундерболт уређаји засновани на ПЦИе имају директни приступ меморији У / И, представља претњу ДМА нападима за читање и писање све системске меморије или за прикупљање података са шифрованих уређаја. Да бисте избегли такве нападе, Тхундерболт је предложио концепт «нивоа сигурности», који омогућава употребу уређаја које је само корисник одобрио и користи криптографску потврду идентитета веза за заштиту од превара са идентитетом.
О Тхундерспи-у
Од идентификованих рањивости, ови омогућавају избегавање наведене везе и повезивање злонамерног уређаја под маском овлашћеног. Поред тога, могуће је изменити фирмвер и ставити СПИ Фласх у режим само за читање, који се може користити за потпуно онемогућавање нивоа безбедности и спречавање ажурирања фирмвера (услужни програми тцфп и спиблоцк припремљени су за такве манипулације).
- Употреба непримерених шема за верификацију фирмвера.
- Користите слабу шему за потврду идентитета уређаја.
- Преузмите метаподатке са неовлашћеног уређаја.
- Постојање механизама који гарантују компатибилност са претходним верзијама, омогућавајући употребу повратних напада на рањиве технологије.
- Користите конфигурационе параметре са неовлашћеног контролера.
- Дефекти интерфејса за СПИ Фласх.
- Недостатак заштите на нивоу Боот Цамп-а.
Рањивост се појављује на свим уређајима опремљеним Тхундерболт 1 и 2 (заснован на Мини ДисплаиПорт-у) и Тхундерболт 3 (заснован на УСБ-Ц).
Још увек није јасно да ли се проблеми појављују на уређајима са УСБ 4 и Тхундерболт 4, пошто се ове технологије само рекламирају и не постоји начин да се верификује њихова примена.
Софтверско рањивост не може да поправи рањивости и захтевају обраду хардверских компоненти. У исто време, за неке нове уређаје, могуће је блокирати неке проблеме повезане са ДМА помоћу механизма заштите ДМА кернела, чија је подршка уведена од 2019. године (подржана је у језгру Линука од верзије 5.0, укључење можете потврдити путем /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
Коначно, како би могли да тестирају све те уређаје у којима постоји сумња да ли су подложни тим рањивостима, предложена је скрипта под називом „Спицхецк Питхон“, који захтева покретање као роот за приступ ДМИ, АЦПИ ДМАР и ВМИ табели.
Као мере заштите рањивих система, Препоручује се да систем не остане без надзора, укључен или у стању приправностиПоред тога што не повезујете друге Тхундерболт уређаје, немојте остављати или преносити своје уређаје странцима а такође пружају физичку заштиту ваших уређаја.
поред тога ако на рачунару нема потребе за употребом Тхундерболта, препоручује се онемогућавање Тхундерболт контролера у УЕФИ или БИОС-у (Иако се помиње да УСБ и ДисплаиПорт портови могу бити онемогућени ако су имплементирани преко Тхундерболт контролера).
izvor: https://blogs.intel.com